Siber güvenlik uzmanları, kullanıcı cihazlarını gizlice proxy düğümlerine dönüştüren ve potansiyel olarak onların bilgisi dışında kötü amaçlı faaliyetlerde bulunan bir Android VPN uygulamaları kümesini ortaya çıkardı.
Bu keşif, Google Play Store'daki ücretsiz VPN uygulamalarının güvenliği konusunda önemli endişelere yol açtı.
Bir siber güvenlik firması olan HUMAN'ın Satori Tehdit İstihbaratı ekibi, kullanıcı cihazlarını PROXYLIB adlı bir Golang kitaplığı aracılığıyla bir proxy ağına kaydeden bir dizi VPN uygulaması belirledi.
Bu operasyon ilk olarak Mayıs 2023'te tek bir ücretsiz VPN uygulaması olan Oko VPN'in kötü amaçlı davranışlar sergilediğinin tespit edilmesi ve ardından Play Store'dan kaldırılmasıyla ortaya çıktı.
Daha ileri analizler, ilgili 28 uygulamanın belirlenmesini sağladı ve bunların tümü artık Google Play Store'dan kaldırıldı.
Ancak PROXYLIB'in arkasındaki aktörler taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) geliştirmeye devam ettikçe tehdit devam ediyor.
HumanSecurity'nin yakın tarihli bir makalesi, Google Play Store'da bulunan ücretsiz bir VPN uygulaması olan Oko VPN'de kötü amaçlı etkinlik keşfetti.
PROXYLIB Nasıl Çalışır?
PROXYLIB uygulamaları, bir proxy ağına çift yönlü bir bağlantı kurarak cihazı kullanıcının izni olmadan etkin bir şekilde yerleşik bir proxy düğümüne dönüştürür.
Uygulamalar, genellikle ücretsiz VPN'ler gibi meşru hizmetler gibi davranır ve kalıcılığı korumak için FOREGROUND_SERVICE ve BOOT_COMPLETED gibi izinleri kullanır.
Yerel kitaplık libgojni.so, gelen istekleri yönetir ve komut ve kontrol (C2) sunucularıyla iletişimi sürdürür.
Bu, cihazın web isteklerini çeşitli çevrimiçi platformlara iletmesine olanak tanır ve bu platformlar, esas olarak video akış hizmetlerini hedefleyen reklam sahtekarlığı gibi faaliyetler için kullanılabilir.
LumiApps SDK Bağlantısı
PROXYLIB'in sonraki bir sürümünün LumiApps adlı bir SDK aracılığıyla dağıtıldığı bulundu.
![Lumiapps[.]io açılış sayfası](https://gbhackers.com/wp-content/uploads/2024/03/image-84.png)
Bu hizmet, kullanıcıların kaynak koduna ihtiyaç duymadan bir APK yüklemesine ve SDK'yı otomatik olarak eklemesine olanak tanır.
Değiştirilen APK'lar daha sonra Google Play Store dışında, genellikle meşru uygulamaların “modları” veya yamalanmış sürümleri olarak dağıtılır.
PROXYLIB'in arkasındaki tehdit aktörünün, konut proxy satıcısı Asocks aracılığıyla ağdan para kazandığına inanılıyor.
Aktör, virüslü cihazların oluşturduğu proxy ağına erişimi satarak geliştiricileri LumiApps SDK'yı uygulamalarına entegre etmeye teşvik ediyor ve böylece ağı genişletiyor.
Kendinizi Proxylib Saldırılarından Korumak
Android kullanıcıları artık Google Play Hizmetlerine sahip cihazlarda varsayılan olarak etkin olan Google Play Koruma tarafından PROXYLIB saldırılarına karşı otomatik olarak korunuyor.
Google Play Koruma, Play Store dışından kaynaklansalar bile kullanıcıları uyarabilir veya kötü amaçlı davranışlar sergileyen uygulamaları engelleyebilir.
HUMAN, PROXYLIB'in etkisini azaltmak için Google ve diğer kuruluşlarla işbirliği yapmaya devam ediyor.
Kullanıcıların mobil uygulamaları yalnızca resmi pazarlardan indirmelerini ve popüler uygulamaların klonlarından veya “modlarından” kaçınmalarını öneriyorlar.
Siber Tehditlere Karşı Devam Eden Mücadele
Belirlenen uygulamaların kaldırılmasına rağmen PROXYLIB'in arkasındaki tehdit aktörü aktif olmaya devam ediyor.
HUMAN'ın Bot Defender'ı, hesap ele geçirme ve web kazıma gibi çeşitli saldırılarda kullanılan Asocks ile ilişkili IP'lerden gelen önemli miktarda trafiği engelledi.
HUMAN dikkatli olmanın önemini vurguluyor ve kullanıcıların ücretsiz VPN uygulamalarının potansiyel riskleri hakkında bilgi sahibi olmalarını tavsiye ediyor.
Şirket, PROXYLIB uyarlamalarını ve konut proxy ağları aracılığıyla gerçekleştirilen saldırıları izlemeye devam edeceğini taahhüt ediyor.
Ücretsiz VPN uygulamaları çekici görünse de, kullanıcıların cihazlarını ve kişisel bilgilerini gizli proxy ağları tarafından istismar edilmekten korumak için bu tür uygulamaları indirmeden önce dikkatli olmaları ve gerekli özeni göstermeleri gerekir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.